Malware RenEngine se expande en América Latina mediante software pirata y juegos modificados, instalando troyanos que roban datos personales
El malware RenEngine se distribuye a través de juegos modificados y software pirateado, lo que ha permitido el robo de información de usuarios en América Latina desde su detección en 2025, según un análisis técnico del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.
Kaspersky detectó las primeras muestras en marzo de 2025 y desde entonces bloquea activamente esta amenaza. Los investigadores identificaron que los ciberdelincuentes crearon decenas de sitios web para difundir el malware mediante programas ilegales, incluidos softwares de diseño gráfico como CorelDRAW, lo que amplía el alcance del ataque más allá del sector gaming.
El análisis técnico indica que la amenaza ya no se limita a juegos "crackeados". También afecta a usuarios que descargan aplicaciones profesionales sin licencia, lo que incrementa la superficie de ataque. Este patrón responde a campañas oportunistas, sin un objetivo específico, dirigidas a cualquier usuario que instale software alterado.
Respecto al funcionamiento, RenEngine actúa como un instalador inicial que permite descargar otros programas maliciosos. En sus primeras variantes se utilizó para instalar Lumma Stealer, mientras que versiones recientes priorizan ACR Stealer. En algunos casos también distribuye Vidar Stealer, todos diseñados para sustraer información de los dispositivos infectados.
El proceso inicia cuando el usuario descarga un archivo aparentemente legítimo. Al ejecutarlo, se muestra una ventana de carga que simula el inicio normal del programa. Sin embargo, en segundo plano se ejecutan instrucciones ocultas que evitan ser detectadas por herramientas de seguridad informática y preparan la instalación de amenazas adicionales.
Estas instrucciones descargan malware mediante HijackLoader, herramienta que permite introducir programas maliciosos sin generar alertas visibles. La infección ocurre en varias etapas: ejecución del archivo, activación del código oculto y posterior instalación de otros componentes maliciosos.
Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, señaló a NotiPress: "Esta amenaza demuestra cómo los ciberdelincuentes amplían sus tácticas para llegar a más víctimas. Además de utilizar juegos pirateados como vector de distribución, también recurren a software de productividad crackeado, como herramientas de diseño o edición, que muchas personas descargan sin considerar el riesgo. Esto aumenta significativamente la superficie de ataque y expone tanto a usuarios individuales como a empresas ante posibles robos de información. Además, cuando un motor de juego o un programa no verifica la integridad de sus recursos, los atacantes pueden modificar sus archivos e insertar código malicioso que se ejecuta automáticamente en cuanto el usuario abre el programa, permitiendo que el malware se instale sin generar señales evidentes".
Las soluciones de Kaspersky identifican esta amenaza bajo los nombres Trojan.Python.Agent.nb y HEUR:Trojan.Python.Agent.gen, mientras que HijackLoader se detecta como Trojan.Win32.Penguish y Trojan.Win32.DllHijacker, lo que permite su bloqueo en sistemas protegidos.
Para reducir riesgos, la compañía recomienda descargar software únicamente desde fuentes oficiales, verificar la procedencia de los archivos, mantener actualizados los sistemas y utilizar herramientas de ciberseguridad capaces de detectar comportamientos sospechosos.
El reporte confirma que RenEngine amplió su alcance desde 2025 mediante sitios de descarga ilegal, instaladores modificados y múltiples cargas de malware diseñadas para robar información en dispositivos personales y empresariales.